Cisco cảnh báo các cuộc tấn công password-spraying nhắm vào các dịch vụ VPN
Cisco đã chia sẻ một bộ đề xuất dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password-spraying đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được định cấu hình trên các thiết bị Tường lửa bảo mật của Cisco.
Cisco cho biết các cuộc tấn công cũng nhắm vào các dịch vụ VPN truy cập từ xa khác và dường như là một phần của hoạt động trinh sát.
Trong cuộc tấn công password-spraying, kẻ tấn công thử cùng một mật khẩu với nhiều tài khoản để cố gắng đăng nhập.
Hướng dẫn giảm nhẹ của Cisco liệt kê các chỉ báo về sự xâm phạm (IoC) cho hoạt động này nhằm giúp phát hiện các cuộc tấn công và ngăn chặn chúng.
Điều này bao gồm việc không thể thiết lập kết nối VPN với Cisco Secure Client (AnyConnect) khi bật Tư thế tường lửa (HostScan).
Tác dụng phụ của trạng thái DoS do các cuộc tấn công gây ra (Cisco)
Một dấu hiệu khác là số lượng yêu cầu xác thực bất thường được ghi lại bởi nhật ký hệ thống.
Cisco đã đưa ra các khuyến nghị của Cisco để chống lại các cuộc tấn công này:
- Cho phép ghi nhật ký vào máy chủ nhật ký hệ thống từ xa để cải thiện khả năng phân tích và tương quan sự cố.
- Bảo vệ cấu hình VPN truy cập từ xa mặc định bằng cách trỏ các cấu hình kết nối mặc định không được sử dụng đến máy chủ AAA lỗ chìm để ngăn chặn truy cập trái phép.
- Tận dụng TCP shunt để chặn IP độc hại theo cách thủ công.
- Định cấu hình ACL mặt phẳng điều khiển để lọc các địa chỉ IP công cộng trái phép khỏi việc bắt đầu các phiên VPN.
- Sử dụng xác thực dựa trên chứng chỉ cho RAVPN, cung cấp phương thức xác thực an toàn hơn so với thông tin xác thực truyền thống.
Liên kết tới mạng botnet Brutus
Nhà nghiên cứu bảo mật Aaron Martin nói với BleepingComputer rằng hoạt động mà Cisco quan sát được có thể là từ một mạng botnet phần mềm độc hại không có giấy tờ mà ông đặt tên là ‘Brutus.’ Kết nối này dựa trên phạm vi nhắm mục tiêu cụ thể và kiểu tấn công.
Martin đã đưa ra một báo cáo về botnet Brutus mô tả các phương thức tấn công bất thường mà ông và nhà phân tích Chris Grube đã quan sát được kể từ ngày 15 tháng 3. Báo cáo lưu ý rằng botnet này hiện dựa trên 20.000 địa chỉ IP trên toàn thế giới, trải rộng trên nhiều cơ sở hạ tầng khác nhau từ dịch vụ đám mây đến IP dân cư.
Các cuộc tấn công mà Martin quan sát ban đầu nhắm vào các thiết bị SSLVPN từ Fortinet, Palo Alto, SonicWall và Cisco nhưng hiện đã mở rộng sang cả các ứng dụng web sử dụng Active Directory để xác thực.
Brutus xoay vòng IP của mình sau mỗi sáu lần thử để tránh bị phát hiện và chặn, trong khi nó sử dụng những tên người dùng rất cụ thể không được tiết lộ và không có sẵn trong các kho dữ liệu công cộng.
Khía cạnh này của các cuộc tấn công làm dấy lên lo ngại về cách lấy được những tên người dùng này và có thể cho thấy hành vi tấn công hoặc khai thác lỗ hổng zero-day chưa được tiết lộ.
Mặc dù chưa rõ những người điều hành Brutus, Martin đã xác định được hai IP có liên quan đến các hoạt động trước đây của APT29 (Midnight Blizzard, NOBELIUM, Cosy Bear), một nhóm đe dọa gián điệp được cho là làm việc cho Cơ quan Tình báo Nước ngoài Nga (SVR).
Nguồn: bleepingcomputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA